13 December, 2008

IE vulnerability just one of many

The latest IE "0day" is making big news. The bulletin now includes IE6, IE7, and IE8 beta. Looking at CVE-2008-4844 will give a decent round-up of related links. Shadowserver has a list of domains known to be using exploits that attack this vulnerability. Microsoft has some workarounds to help mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability.

One thing to remember is that many malicious sites do not rely on one vulnerability. Don't let one high-profile vulnerability and news of exploits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild make you forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big picture. If a site is hosting exploits against this IE vulnerability, it is very likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site will be hosting additional exploits.

One example is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest profile domains hosting exploits, 17gamo[dot]com. The SQL attacks referenced on SANS are injecting a URI containing this malicious domain. As mentioned on SANS diary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 javascript in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected URI leads to additional files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious site. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary specifically mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IE exploit, it doesn't mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploits.

Please remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following site is malicious!

$ wget -r http://www.17gamo.com/co
After downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, I change to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct directory and see what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re:
$ ls co/
14.htm flash.htm ihhh.html nct.htm real.htm swfobject.js
fhhh.html ie7.htm index.html office.htm real.html
The index file tries to open iframes containing 14.htm, flash.htm, ie7.htm, nct.htm, office.htm, real.htm and real.html. The flash.htm file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n references ihhh.html and fhhh.html. We already know from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary what ie7.htm does.

It was nice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file authors to use relevant names for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files. The flash.htm code references both ihhh.html and fhhh.html. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will serve up a Flash exploit of varying names depending what version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Flash Player is detected. Downloading a couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SWF files, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same size but diff shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not identical. They all seem to produce similar results on Virustotal.

The office.htm file appears to be an exploit targeting CVE-2008-2463, a MS Office Snapshot Viewer ActiveX vulnerability. If vulnerable, this will lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same win.exe mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS diary and it looks like it will attempt to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Startup' folder for All Users.

I haven't looked at real.htm, real.html, nct.htm or 14.htm yet.

This is all just to point out that most malicious sites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days will run a number of attacks against web clients, so just because one failed doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. I saw a system get hit by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ie7.htm exploit without immediately downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win.exe from steoo[dot]com, yet it did run one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious SWF files.

No comments:

Post a Comment